¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una legislación sobre protección de privacidad y datos que rige en toda la Unión Europea (UE) y otorga a los individuos mayor control sobre sus datos personales. El reglamento se aplica cuando cualquier persona procesa los datos personales de quienes residen en la UE, sin importar la ubicación de la persona o identidad que procesa dichos datos.

El RGPD es importante no solo para empresas con sede en la UE o los residentes de la UE, sino que también para cualquier empresa que opere a nivel mundial. Los datos de nuestros clientes tienen igual importancia, independientemente de su ubicación; por tanto, nuestro plan es implementar controles del RGPD como estándares mínimos para todas nuestras operaciones a nivel mundial.

El RGPD tendrá vigencia a partir del 25 de mayo del 2018.

¿Qué son los datos personales?

Los datos personales corresponden a toda información que pueda ayudar a identificar a un individuo.

En el RGPD se incluye un amplio espectro de información que se podría utilizar para identificar a un individuo, ya sea por sí misma o en combinación con otros datos. Los datos personales se extienden más allá del nombre o la dirección de correo electrónico de una persona. Entre algunos ejemplos, se incluyen la información financiera, las opiniones políticas, la información genética, la información biométrica, las direcciones IP, la dirección física, la orientación sexual y la identidad étnica.

¿Cómo se prepara Zoho para cumplir con el RGPD?

En la preparación para el RGPD, Zoho ha adoptado algunas medidas para respetar la nueva normativa.

  • Hemos generado conciencia en toda la organización mediante debates frecuentes en nuestros canales internos y hemos capacitado a nuestros empleados para que manejen apropiadamente la información. Ahora, los empleados entienden la importancia de la seguridad de la información y los altos estándares que se establecen en el RGPD.
  • Hemos evaluado todos los productos de Zoho, en forma individual, con respecto a los requisitos del RGPD y estamos implementando nuevas funciones que le otorgarán mayor control sobre sus datos y disminuirán la carga para que logre cumplir con el RGPD.

     

    Vea las medidas que hemos adoptado a fin de que nuestros productos estén preparados para cumplir con el RGPD.

    Campañas de ZohoZoho CRMZoho Forms
    Zoho MailZoho SalesIQZoho Cliq
    Zoho PageSenseZoho SocialZoho Motivator
    Zoho ProjectsZoho WriterZoho Desk
    Zoho AssistZoho RecruitZoho People
    Zoho CreatorZoho AnalyticsZoho Flow
    Zoho Vault  
  • Hemos elaborado un inventario de datos personales en el que se incluyen todas las funciones que desempeña Zoho, tales como controlador y procesador de datos. En el inventario se incluyen diversas categorías de datos personales procesados por nuestra organización, lo que nos ayuda a determinar qué departamento accede a nuestros datos y con qué fin.
  • Estamos evaluando a nuestros subprocesadores (proveedores de servicios de terceros y socios) y optimizando el proceso contractual con ellos para asegurarnos de que respondan a las necesidades urgentes del mundo actual en términos de seguridad y privacidad.
  • Hemos nombrado a defensores internos de la privacidad en todos nuestros equipos. Estamos en el proceso de designar a un oficial de protección de datos (OPD). Se espera que el proceso termine muy pronto.
  • Nos encontramos constantemente en proceso de obtener más certificaciones de seguridad y sellos de privacidad de datos. También estamos documentando nuestros procesos y procedimientos en hasta el más mínimo detalle de nuestra labor.
  • Nuestros equipos de aplicaciones han acogido el concepto de privacidad por diseño y están trabajando para otorgarle mayor control sobre los datos que almacena en nuestros sistemas. Estas disposiciones pueden variar en función de las características y el dominio del producto. Nuestros equipos están trabajando en estas funciones y avances, que se implementarán en fases.
  • Hemos modificado nuestro anexo de procesamiento de datos (en función de las cláusulas contractuales modelo) para cumplir con los requisitos de procesamiento de datos del RGPD. Si se solicita, compartiremos el anexo de procesamiento de datos revisado para permitirle cumplir con las obligaciones del RGPD. Envíe un correo electrónico a gdpr-compliance@zohocorp.com para solicitar una copia del anexo de procesamiento de datos.
  • Realizamos evaluaciones sobre el impacto de la protección de datos (DPIA). Según los resultados, estamos poniendo en práctica controles adecuados sobre el procesamiento y el manejo de datos.
  • Realizamos auditorías internas de nuestros productos, procesos, operaciones y administración. Les comunicamos las conclusiones a nuestros equipos, los que trabajan para solucionar los problemas pendientes.
  • Según las DPIA y las auditorías internas, hemos mejorado nuestros métodos y procesos de seguridad de datos. Lo anterior incluye el cifrado de datos en reposo en función del nivel de sensibilidad y de la probabilidad de riesgos. Además, estamos desarrollando nuestras propias herramientas para realizar una mejor administración y detección de datos.
  • Estamos limpiando nuestras bases de datos para asegurarnos de disponer solamente de la información más actualizada y precisa. Este proceso de limpieza implica eliminar cuentas canceladas e inactivas según nuestros Términos de servicio.
  • Cuando sea necesario, se emitirán notificaciones de infracción en conformidad con nuestra política interna de respuesta a incidentes de privacidad. A los clientes se les informará esta infracción dentro de las primeras 72 horas después de que Zoho se entere de esta situación. En el caso de incidentes generales, se les notificará a los usuarios por medio de nuestros blogs, foros y redes sociales. En el caso de incidentes específicos de un usuario individual o una organización, se le notificará a la parte correspondiente mediante un correo electrónico (a su dirección de correo electrónico principal).
  • Hemos revisado nuestra Política de Privacidad para incorporar los requisitos de las leyes de privacidad vigentes en función de nuestros flujos de datos, inventario de datos y prácticas de manejo de datos.

Únase a la sesión de preguntas y respuestas en un foro en vivo y obtenga respuestas a sus preguntas sobre la política de privacidad actualizada de Zoho conforme al RGPD. Realice sus preguntas

Preguntas frecuentes:

1. ¿Qué es el RGPD?

  • El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) es un punto de inflexión en las leyes de privacidad y protección de datos. La UE se ha dado cuenta de que si bien la tecnología ha evolucionado considerablemente en las últimas décadas, las leyes de privacidad no lo han hecho. En el 2016, los organismos reguladores de la UE decidieron actualizar la anterior Directiva de Protección de Datos para adaptarse a los nuevos tiempos. Con este reglamento se crea una lista detallada de las regulaciones que rigen el procesamiento de los datos personales de los residentes de la UE.

2. ¿A quién se aplica el reglamento?

  • El RGPD es válido para cualquier organización que trabaje con los datos personales de los residentes de la UE. Este reglamento presenta nuevas obligaciones para los procesadores de datos y, a su vez, estipula de forma clara la responsabilidad de los controladores de datos.

3. ¿Dónde se aplica el RGPD?

  • No hay límites territoriales para este reglamento. No importa de dónde sea su organización: si procesa datos personales de sujetos de la UE, se someterá a la jurisdicción del reglamento.

4. ¿Cuáles son las sanciones por incumplimiento?

  • La infracción del RGPD conlleva una multa de hasta el 4 % de la facturación global anual o EUR 20 millones (lo que sea mayor).

5. ¿Quiénes son los participantes clave?

  • Interesado: una persona física residente de la UE que es la interesada
  • Controlador de datos: determina los fines y medios del procesamiento de los datos
  • Procesador de datos: procesa los datos según las instrucciones del controlador
  • Autoridades supervisoras: autoridades públicas que supervisan el cumplimiento del reglamento

6. ¿Qué son los datos personales o la información personal identificable (PII)?

  • Corresponden a toda información relacionada con una persona natural identificada o identificable. Los identificadores se clasifican en dos tipos: directo (por ejemplo, nombre, correo electrónico y número de teléfono) e indirectos (por ejemplo, fecha de nacimiento y sexo).

7. ¿Cuáles son los principales cambios respecto a los reglamentos anteriores?

  • Derechos nuevos y mejorados para los interesados: este reglamento otorga a un individuo el derecho a ejercer el control total sobre sus datos personales. Algunos de los derechos destacados del reglamento son los siguientes:
  • Consentimiento explícito: se debe informar a los sujetos interesados sobre cómo se procesarán sus datos personales. Las organizaciones deben facilitar a los interesados tanto la anulación como el otorgamiento de su consentimiento en igual medida.
  • Derecho de acceso: en cualquier momento, el interesado puede preguntarle al controlador qué datos personales acerca de él se están almacenando o reteniendo.
  • Derecho al olvido: el interesado puede solicitarle al controlador que elimine la información personal de sus sistemas.
  • Obligaciones de los procesadores: el RGPD también ha subido el nivel de las responsabilidades y obligaciones de los procesadores de datos. Los procesadores deben ser capaces de demostrar que cumplen con el RGPD y deben seguir las instrucciones del controlador de datos.
  • Oficial de protección de datos- Es posible que las organizaciones deban nombrar a un funcionario o a un proveedor de servicios externo para que sea responsable de supervisar el RGPD, el cumplimiento general de la administración de la privacidad y las prácticas de protección de datos.
  • Evaluaciones de impacto en la privacidad (PIA)- Las organizaciones deben realizar evaluaciones de impacto en la privacidad con respecto a su procesamiento de datos a gran escala para minimizar los riesgos e identificar medidas para mitigarlos.
  • Notificación de infracciones- Los controladores deben notificar a los participantes (la autoridad de supervisión y, cuando corresponda, a los interesados) dentro de las primeras 72 horas después de enterarse de la infracción.
  • Portabilidad de los datos: el controlador debe ser capaz de proporcionarles a los interesados una copia de sus datos personales en formato legible por máquina. Si es posible, debe poder transferir los datos a otro controlador.

8. ¿Cuáles son las bases legales que el controlador de datos puede utilizar para procesar datos de los clientes?

  • El controlador de datos puede elegir entre seis bases de procesamiento de datos. A saber:
  • Contrato: se emplea cuando se deben procesar los datos personales del cliente a fin de cumplir obligaciones contractuales o para adoptar algunas medidas según la solicitud del cliente (por ejemplo, enviar una cotización o factura).
  • Obligación legal: se emplea cuando debe cumplir con una obligación en virtud de cualquier ley pertinente (por ejemplo, proporcionar información en respuesta a solicitudes válidas, como una investigación por parte de una autoridad). 
  • Intereses vitales: se emplean en cuestiones urgentes de vida o muerte, especialmente con respecto a datos relativos a la salud.
  • Tareas públicas: se emplean en actividades de las autoridades públicas. 
  • Intereses legítimos: entre los intereses legítimos se pueden incluir intereses comerciales, como marketing directo, intereses individuales o beneficios sociales más amplios. El controlador debe documentar y mantener un registro de las decisiones sobre intereses legítimos en el formato de una evaluación de intereses legítimos.
  • Consentimiento: el consentimiento también es una base legal para procesar datos. El consentimiento del sujeto de los datos significa "cualquier indicación libre, específica, informada y clara de los deseos del sujeto de los datos mediante la cual él o ella, a través de una declaración o una acción afirmativa evidente implica aceptación del procesamiento de los datos de carácter personal que le conciernan". 

9. ¿Qué significa LIA?

  • LIA significa Legitimate Interests Assessment (evaluación de intereses legítimos). Especifica la razón por la que una empresa desea procesar los datos personales del cliente. La empresa también debe realizar una evaluación LIA para demostrar que el procesamiento es necesario.
  • Evaluar si existe un interés legítimo.
  • La determinación de la necesidad de procesamiento.
  • Los resultados de la prueba de equilibrio.

10. ¿El RGPD requiere que los datos personales de la UE permanezcan en esa comunidad?

  • No. El RGPD no requiere que los datos personales de la UE permanezcan en esta comunidad, como tampoco impone nuevas restricciones sobre transferencias de datos personales fuera de la UE. En nuestro anexo de procesamiento de datos, que hace referencia a las cláusulas modelo de la Comisión Europea, se seguirá ayudando a nuestros clientes a facilitar la transferencia de datos personales de la UE fuera de ella.

11. ¿Dónde se encuentran mis datos?

  • Los datos de los clientes de Zoho.com permanecerán en los centros de datos de EE. UU., y los de los clientes de Zoho.eu, en nuestros centros de datos en la UE.

12. ¿Dónde puedo encontrar recursos adicionales sobre GDPR? 

Recursos:

Nuestro compromiso permanente con su privacidad - Sridhar Vembu, CEO, Zoho Corp.

RGPD - Conceptos básicos

No dude en realizar preguntas y compartir sus inquietudes con nosotros en privacy@zohocorp.com.

Elija privacidad. Elija Zoho.

Obtenga más información acerca de la preparación de Zoho para el RGPD.

  • bsi-assurance
  • Protección de privacidad
  • TRUSTe
  • SOC

Descargo de responsabilidad: la información presentada en este documento no debe interpretarse como una asesoría legal. Le recomendamos buscar asesoría legal sobre lo que debe hacer para cumplir con los requisitos del RGPD.